%-----------------------------------------------------------------------------
\chapter{Stand der Technik}
%-----------------------------------------------------------------------------



%todo
%Nicht vergessen http://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-1:v1:en


\section{International Organization for Standardization (ISO)}
"`Die Internationale Organisation für Normung – kurz ISO (\ldots englisch
International Organization for Standardization) – ist die internationale
Vereinigung von Normungsorganisationen und erarbeitet internationale Normen
\ldots"' \cite{what-is-iso}. Daher sind die Implementierungen dieser Normen,
solange sie den Vorgaben ebendieser entsprechen, auch wenn sie unterschiedlich
und/oder in unterschiedlichen Lädern erstellt werden, vergleichbar.


\subsection{ISO/IEC-27001:2005}
"`ISO/IEC 27001:2005 covers all types of organizations (e.g. commercial
enterprises, government agencies, not-for profit organizations). ISO/IEC
27001:2005 specifies the requirements for establishing, implementing, operating,
monitoring, reviewing, maintaining and improving a documented Information
Security Management System within the context of the organization's overall
business risks. It specifies requirements for the implementation of security
controls customized to the needs of individual organizations or parts thereof.
ISO/IEC 27001:2005 is designed to ensure the selection of adequate and
proportionate security controls that protect information assets \ldots"'
\cite{iso27001}.


\section{Das Bundesamt für Informationstechnologie (BSI) in Deutschland}
"`Das Bundesamt für Sicherheit in der Informationstechnik \ldots gehört zum
Ge\-schäfts\-be\-reich des Bundesministeriums des Innern. Mit seinen derzeit
rund 550 Mitarbeiter\-innen und Mitarbeitern und 62 Mio. Euro Haushaltsvolumen ist das
BSI eine unabhängige und neutrale Stelle für alle Fragen zur IT-Sicherheit in der
Informationsgesellschaft. \ldots Ziel des BSI ist der sichere Einsatz von
Informations- und Kommunikationstechnik in unserer Gesellschaft. IT-Sicherheit
soll als wichtiges Thema wahrgenommen und eigenverantwortlich umgesetzt werden"'
\cite[S. 4]{gs-leitfaden}.



\subsection{IT-Grundschutzansatz des Bundesamtes für 
In\-for\-ma\-ti\-ons\-technologie in Deutschland}
%-----------------------------------------------------------------------------
"`Der IT-Grundschutz repräsentiert einen Standard für die Etablierung und
Auf\-recht\-er\-hal\-tung eines angemessenen Schutzes aller Informationen einer
Institution. Diese \ldots Methode bietet sowohl eine Vorgehensweise für den
Aufbau eines Managementsystems für Informationssicherheit als auch eine
umfassende Basis für die Risikobewertung, die Überprüfung des vorhandenen
Sicherheitsniveaus und die Implementierung der angemessenen
Informationssicherheit."' \cite[S. 6]{gs-vorgehensweise}.



%-----------------------------------------------------------------------------
\section{IT-Informationssicherheit} 
%-----------------------------------------------------------------------------
Computersysteme gelten als sicher wenn die Sicherheit der darin
gespeicherten Informationen von der sie verwaltenden Informationstechnologie
(IT) gewährleistet werden kann und wird. Die daher so genannte
IT-Informationssicherheit muß durch die Einhaltung der drei folgenden
grundlegenden Ziele erreicht werden:


\begin{itemize}
  \item Integrität
  \newline 
  Informationen dürfen nur von den vorgesehenen Personen und Prozessen verändert
  werden,
  \item Vertraulichkeit
  \newline  
  Informationen dürfen nur für die vorgesehenen Personen und Prozesse offen
  gelegt werden,
  \item Verfügbarkeit
  \newline  
  Informationen müssen für die vorgesehenen Personen und Prozesse bereitgestellt
  sein, wenn diese sie benötigen 
  \newline \cite[S.14]{gs-leitfaden} \cite[S. 38]{oesiha}.
\end{itemize}




 \subsection{Informationssicherheitsmanagementsystem
 (ISMS)}
"`Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How,
sondern zunächst aus dem Bewußtsein des Management und der
Mit\-arbeiter/Mit\-arbeiterinnen einer Organisation, dass Informationen
schützenswerte und gefähr\-de\-te Werte für alle Beteiligten darstellen. Daher
sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in
Kauf zu nehmen, um sie zu erhalten.Es muss allerdings ebeso bewusst sein, dass
100 \% Sicherheit nicht erreicht werden kann, wie viel man auch investiert. Ziel
muss es also sein, ein angemessenes Sicherheitsniveau zu erreichen und dauerhaft
zu erhalten"' \cite[S. 36]{oesiha}. "`Durch Etablieren und Erhalten eines
Informationssicherheits-Managementsystems (ISMS) sollen die grundlegenden Ziele
der Informationssicherheit erreicht werden"' \cite[S.14]{gs-leitfaden} \cite[S. 38]{oesiha}.



%todo Was IT-Informationssicherheitsleitlinie sowie warum/wozo
\subsection{IT-Informationssicherheitsleitlinie}
"`Zu einem ISMS gehören folgende grundlegende Komponenten:
\begin{itemize} 
  \item Management-Prinzipien 
  \item Ressourcen
  \item Mitarbeiter 
  \item Sicherheitsprozess
  \begin{itemize} 
    \item Leitlinie zur Informationssicherheit, in der die Sicherheitsziele und
    die Strategie zu ihrer Umsetzung dokumentiert sind
    \item Sicherheitskonzept 
    \item Informationssicherheitsorganisation"' \cite[S. 13]{gs1001}
\end{itemize}
\end{itemize}
Daher ist die IT-Informationssicherheitsleitlinie "`von zentraler Bedeutung, da
sie das sichtbare Bekenntnis der Leitungsebene zu ihrer Strategie enthält"
\cite[S. 14]{gs1001}. Ohne Definition, Bekanntmachung und Unterfertigung einer
IT-Informationssicherheitsleitlinie durch die Leitungsebene einer Organisation
ist kein Aufbau eines ISMS möglich. Und somit, zumindestens auf lange Sicht,
auch nicht die Sicherheit der von der Informationstechnologie verarbeitenten
Informationen gewährleistbar.







